การวิเคราะห์ไวรัส - บทนำ

ในปัจจุบันจำนวนไวรัสคอมพิวเตอร์เพิ่มจำนวนขึ้นอย่างมาก และมีเทคนิคในการแพร่กระจายอย่างรวดเร็วมาก ทำให้โปรแกรมป้องกันไวรัสไม่สามารถปรับปรุงฐานข้อมูลได้ทันเวลา และอาจก่อให้เกิดความเสียหายต่อระบบเครือข่ายได้ ดังนั้นการวิเคราะห์ไวรัส (Malware Analysis) จึงเข้ามามีความจำเป็นอย่างมากในปัจจุบัน ซึ่งเป็นกระบวนการหนึ่งที่ใช้ในการศึกษาว่าไวรัสนั้นทำงานได้อย่างไร เพื่อจุดประสงค์ในการสร้างลายเซ็นต์หรือฐานข้อมูลของไวรัสสำหรับโปรแกรมป้องกันไวรัสต่างๆ พร้อมทั้งหาวิธีการแก้ไขเบื้องต้นและวิธีการป้องกันไวรัสได้ ซึ่งวิธีการวิเคราะห์นั้นก็มีหลากหลายวิธีและแต่ละวิธีก็มีความยากง่ายแตกต่างกันได้แก่

1. Static Analysis เป็นวิธีการวิเคราะห์ในระดับเบื้องลึกของโค้ด โดยการศึกษาด้วยวิธีวิศวกรรมย้อนกลับ (Reverse Engineering) ซึ่งผู้ที่จะใช้วิธีนี้จำเป็นต้องอาศัยทักษะด้านการเขียนโปรแกรมแอสเซมบลีอย่างมาก จึงจะสามารถวิเคราะห์ได้
2. Dynamic Analysis เป็นวิธีการวิเคราะห์ด้วยพฤติกรรมของไวรัส ศึกษาว่าไวรัสมีความสามารถในการทำอันตรายต่อระบบอย่างไรบ้าง มีการสร้างไฟล์หรือลบไฟล์อะไร รวมทั้งมีการส่งข้อมูลผ่านทางระบบเครือข่ายหรือไม่ ฯลฯ วิธีนี้จำเป็นต้องอาศัยทักษะด้านการใช้งานคอมพิวเตอร์และระบบปฏิบัติการค่อนข้างสูง แต่วิธีการนี้ยังง่ายกว่าวิธี Static ในบทความต่อๆไป จะสอนวิธีการวิเคราะห์ด้วยวิธีนี้ ซึ่งเป็นวิธีที่ผมศึกษามานานแล้ว
3. Hybrid เป็นวิธีที่รวมเอาทั้งสองวิธีมารวมกัน

นอกจากนี้วิธีการวิเคราะห์ไวรัสเองอาจสามารถทำได้จากทั้งระยะไกล (คืออัพโหลดไฟล์ไวรัสไปยังเว็บไซต์ที่ให้บริการ ผลที่ได้คือรายงานว่าไวรัสดังกล่าวมีการทำงานอย่างไร) และระยะใกล้ (คือการวิเคราะห์พฤติกรรมของไวรัสที่เครื่องสำหรับทดสอบเอง ซึ่งจำเป็นต้องมีการติดตั้งระบบสำหรับทดสอบด้วย)

สรุปการวิเคราะห์ไวรัสมีความสำคัญมากในปัจจุบัน ในบทความต่อไปจะกล่าวถึงวิธีการวิเคราะห์ไวรัสจากระยะไกล